Aus Sicht der Datenschützer sind Data Warehouses eher kritisch zu betrachten - vor allem die damit verbundenen Funktionen zur Auswertung wie Data Mining oder OLAP (Online Analytical Processing). Schließlich gibt es erhebliche Diskrepanzen zwischen den Vorgaben des Bundesdatenschutzgesetzes und den Zielen und Möglichkeiten von Data Warehouses. Dieser Beitrag soll aufzeigen, wie sich Anwender trotzdem gesetzeskonform verhalten, ohne die Vorteile ihrer Datenbanksysteme aufzugeben.
Ziele von Data Warehouses
Data Warehouses sind integrierte Datenbestände, die durch Extraktion, Bereinigung und teils durch Aggregation aus den operativen Datenbeständen einer Organisation gewonnen werden. Sie sind keine 1:1-Abbildungen der einzelnen operativen Datenbestände einer Organisation, sondern speziell für planerische und kontrollierende Auswertungen konzipierte Datenbanken. In diese fließen Daten aus unterschiedlichen operativen Datenbeständen ein.
Zweck eines Data Warehouse ist es, flexibel qualitativ hochwertige Daten für analytische Anwendungen zur Verfügung zu stellen. Entsprechend den Anforderungen der analytischen Anwendungen werden die Daten über einen längeren Zeitraum und beständig (unverändert) vorgehalten - teilweise ergänzt durch Daten, die aus externen Quellen von außerhalb der Organisation stammen.
Die eingesetzten Analysemethoden - darunter Data Mining oder OLAP - sollen zum einen wiederkehrende Standard-Auswertungen vornehmen, zum anderen aber auch wechselnde, nicht vorher bestimmbare, komplexe Fragestellungen beantworten.
Ziele und Vorgaben des Datenschutzes
Das Ziel des Datenschutzrechts ist es, das Recht auf die "informationelle Selbstbestimmung" natürlicher Personen - der so genannten "Betroffenen" - zu wahren. Demnach haben die Betroffenen grundsätzlich das Recht selbst zu bestimmen, welche Informationen über ihre "persönlichen und sachlichen Verhältnisse" Dritten preisgegeben werden.
Das bedeutet aber nicht, dass jedes Individuum in jeder Situation entscheiden kann, welche Informationen über seine Person Dritten zugänglich gemacht werden. Vielmehr ist im Bundesdatenschutzgesetz (BDSG) geregelt, unter welchen Bedingungen Organisationen personenbezogene Daten Betroffener - beispielsweise von Kunden oder Beschäftigten - erheben, verarbeiten, nutzen oder an Dritte übermitteln dürfen (§28 Abs. 1, in Verbindung mit §4 BDSG). Zulässig ist das Erheben, Verarbeiten und Nutzen personenbezogener Daten in folgenden Fällen:
Wenn es gesetzlich vorgeschrieben ist;
Wenn es für die Begründung, Anwendung oder Beendigung eines Vertrages oder eines vertragsähnlichen Verhältnisses erforderlich ist;
Soweit es zur Wahrung eigener Interessen des verarbeitenden oder nutzenden Unternehmens erforderlich ist und kein Grund zu Annahme besteht, dass schutzwürdige Interessen des Betroffenen überwiegen;
Sollen darüber hinausgehend personenbezogene Daten erhoben werden, so ist dies nur mit einer dokumentierten Einwilligung des Betroffenen zulässig.
Weitere Rahmenbedingungen
Neben diesen einschränkenden Erlaubnistatbeständen für die Erhebung personenbezogener Daten sind im BDSG noch bestimmte Rahmenbedingungen definiert. Diese müssen erfüllt sein, damit die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten überhaupt zulässig sein kann. Wichtige Rahmenbedingungen, insbesondere im Hinblick auf den Einsatz von Data Warehouses, sind:
Das Recht auf informationelle Selbstbestimmung setzt voraus, dass über alle Stufen der Datenverarbeitung hinweg eine hinreichende Transparenz gegeben ist. Im Klartext: Den Betroffenen muss jederzeit bekannt sein, für welche Zwecke und durch wen ihre Daten verarbeitet oder genutzt und wie lange sie aufbewahrt werden. Daraus folgt, dass die erhobenen Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, der den Betroffenen im Rahmen der Datenerhebung bekannt gegeben wurde, ihnen also transparent ist. Dabei ist zu beachten, dass die den Betroffenen bekannt gegebenen Zwecke hinreichend präzise angegeben werden. So ist ein globaler Hinweis auf eine Datenauswertung auf der Basis von Data Warehouses nicht ausreichend. Vielmehr muss aus den angegebenen Zwecken hervorgehen, welche Auswertungen vorgenommen werden sollen.
Der Zweck der Datenerhebung muss im Rahmen der Einwilligung dokumentiert werden. Letztere stellt die einzige Möglichkeit dar, die Datenerhebung zu legitimieren. Einzig wenn die Erhebung auf der Grundlage einer Rechtsvorschrift erfolgt oder die Daten zur Abwicklung eines Vertragsverhältnisses erforderlich sind, ist keine Einwilligung nötig. Das sollte bei einer Datensammlung für Auswertungszwecke aber kaum der Fall sein. Einwilligungen müssen schriftlich vorliegen, das Einräumen einer nachträglichen Widerspruchsmöglichkeit gegen die Datenerhebung reicht nicht aus. Bei einer Datenerhebung auf einer Website reicht das so genannte "doppelte Opt-In" aus (§13 Telemediengesetz). Auch hier muss aber die Erteilung der Einwilligung (datenmäßig) dokumentiert werden.
Ein entscheidendes Grundprinzip des Datenschutzes ist die Datenvermeidung beziehungsweise die Datensparsamkeit (§3a BDSG). Nach diesem Prinzip sind Organisationen, die personenbezogene Daten verarbeiten, verpflichtet, nur die Daten zu erheben, die für den beabsichtigten Verarbeitungszweck unbedingt erforderlich sind. Sollen die erhobenen personenbezogenen Daten darüber hinaus genutzt werden - beispielsweise im Rahmen von Auswertungen -, ist das erneut nur mit einer dokumentierten Einwilligung des Betroffenen zulässig.
Daten, die für unterschiedliche Zwecke erhoben wurden, sind auch getrennt zu verarbeiten und/oder zu nutzen. Das hat die verantwortliche Organisation sicherzustellen (Trennungsgebot, Punkt 8 der Anlage zu §9 BDSG). Es ist keine physische Trennung der Daten nötig, wohl aber eine logische. Demnach ist die Vermischung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, in einer integrierten Auswertungsdaten-Basis nicht zulässig.
Fazit: Werden personenbezogene Daten in ein Data Warehouse integriert, liegt eine anlasslose Vorratsdatenspeicherung vor, die dem BDSG zuwider läuft. Schließlich werden Datenbestände vorgehalten, die aus unterschiedlichen Anwendungen zusammengeführt wurden, um im Voraus nicht näher definierte Auswertungen vornehmen zu können. Dafür wurden personenbezogenen Daten ohne Einwilligung der Betroffenen ohne detailliert spezifizierte Zwecke erhoben und entgegen den Vorgaben des Trennungsgebotes für beliebige Auswertungszwecke zusammengeführt.
Datenschutzkonforme Data Warehouses
Foto:
Weniger Probleme gibt es mit Data Warehouses, die nur Daten ohne Personenbezug umfassen. Das BDSG schützt lediglich personenbezogene Daten - also nur solche, die sich beispielsweise auf Kunden oder Mitarbeiter beziehen. Sobald jedoch personenbezogene Daten, wie Namen, Adressen oder sonstige Daten über Geschäftsbeziehungen zwischen den betroffenen Personen und der Organisation in das Data Warehouse einfließen, gelten die Rahmenbedingungen des Bundesdatenschutzgesetzes auch für das Data Warehouse und die daraus abgeleiteten Auswertungen. Sonderregelungen oder Erleichterungen für Data Warehouses sind im BDSG nicht vorgesehen.
Sollen nun also personenbezogene Daten in das Data Warehouse übernommen werden, die in den operativen Datenbeständen zweckbezogen, ohne spezielle Einwilligung und gemäß den Vorgaben des §28 (1) BDSG verwaltet werden, bietet sich auf BDSG-Basis lediglich die Anonymisierung respektive Pseudonymisierung dieser Daten an.
Eine Anonymisierung gemäß §3 (6) BDSG wird dadurch erreicht, dass der Personenbezug abgespaltet wird. Das heißt, dass beispielsweise Namen, Kundennummern, Stammnummern von Mitarbeitern etc. nicht in das Data Warehouse übernommen werden. Da dieser Weg der Anonymisierung in der Realität immer umkehrbar ist, muss die Datenübernahme so gestaltet werden, dass eine Re-Identifizierung der betroffenen Personen nur mit großem Aufwand möglich ist. Eine Anonymisierung ist deshalb immer relativ, wird aber vom Gesetzgeber trotzdem als hinreichend akzeptiert. Nach einer faktischen Anonymisierung dürfen die Daten dann auch von Gesetzes wegen uneingeschränkt in das Data Warehouse integriert und dort ausgewertet werden.
Eine Pseudonymisierung nach § 3 (6a) BDSG ist das Ersetzen eines Namens oder anderer Identifikationsmerkmale durch ein Kennzeichen, das die Bestimmung der Person zumindest wesentlich erschwert. Um einen hinreichenden Datenschutz zu erreichen, muss deshalb bei einer Pseudonymisierung sichergestellt werden, dass der Anwender (das heißt die Person, die das Data Warehouse oder die zur Verfügung stehenden Auswertungsfunktionalitäten nutzt) keine Kenntnis der Zuordnungsregeln zwischen Namen etc. und dem vergebenen Pseudonym hat.
Weder die Anonymisierung noch die Pseudonymisierung ermöglichen eine wirkliche, sondern lediglich eine relative Unkenntlichmachung der hinter den Daten stehenden Personen. Dennoch werden beide Vorgehensweisen im Allgemeinen als hinreichend für einen wirksamen Datenschutz akzeptiert. Sie stellen de facto die einzigen beiden Möglichkeiten dar, personenbezogene Daten ohne Einwilligung der Betroffenen aus den operativen Datenbeständen in Data Warehouses einzubinden. Unter Datenschützern sehen sich beide Methoden dennoch einer erheblichen Kritik ausgesetzt.
In bestimmten Anwendungsfällen wie beispielsweise in Customer-Relationship-Management-Anwendungen (CRM), ist ein Personenbezug hingegen unerlässlich. Hier lässt sich eine wirksame Einwilligung der Betroffenen bereits bei der Datenerhebung demnach nicht umgehen. Wie wirksam diese Einwilligung schließlich ist, lässt sich nur durch eine transparente Darlegung des Zweckes der Datennutzung beeinflussen. (sh)
- Ausschließlich pseudonyme Nutzerprofile erstellen
Nutzungsprofile von Besuchern dürfen laut §15 Telemediengesetz ohne Einwilligung nur unter einem Pseudonym erstellt werden.<br /><br /> In der Regel spricht man von einem Pseudonym, wenn hinter dem jeweiligen Datensatz fünf oder mehr Personen stecken können. Die Datenschutzbehörden haben hierzu festgestellt, dass die IP-Adresse ausdrücklich kein Pseudonym darstellt, da hierdurch Rückschlüsse auf den einzelnen Besucher einer Website gezogen werden können. Achten Sie darauf, dass IP-Adressen vor der Verarbeitung und Speicherung so gekürzt werden, dass ein Bezug zur natürlichen Person nicht mehr herzustellen ist. - Widerspruchsrecht einräumen und technisch umsetzen
Besucher müssen der Erstellung von Nutzungsprofilen widersprechen können. Der Widerspruch muss vom Website-Betreiber wirksam umgesetzt werden.<br /><br /> Website-Besucher besitzen grundsätzlich bei allen erfassten personenbezogenen Daten das Recht, eine erteilte Einwilligung zur Nutzung dieser Daten für Zwecke der Werbung und Marktforschung zu widerrufen. Außerdem besteht ein Widerspruchsrecht zur Bildung von Nutzungsprofilen, die unter einem Pseudonym für Marktforschungs- und Analysezwecke erstellt wurden. Diese Widerspruchsrechte müssen auch für alle Anwendungen und Dienste auf mobilen Endgeräten wie Smartphones oder Tablets eingeräumt werden. Möchte der Kunde von diesen Rechten Gebrauch machen und nicht länger zu den personenbezogenen bzw. pseudonymisierten Nutzungsprofildaten beitragen, müssen Sie dies veranlassen und technisch umsetzen (lassen). - Keine IP-Adressen verarbeiten oder gar speichern
Ohne bewusste, eindeutige Einwilligung des Betroffenen darf die vollständige IP-Adresse nicht verarbeitet werden.<br /><br /> Eine illegale Verarbeitung ist beispielsweise bereits die IP-Geolokalisierung oder die Identifikation der Firma des Besuchers auf Basis vollständiger IP-Adressen. Allerdings ist eine Geolokalisierung auch mit verkürzter IP-Adresse – und damit datenschutzkonform – möglich. - Strikte Datentrennung einhalten
Pseudonyme und personenbezogene Daten müssen stets getrennt gespeichert und dürfen ohne Einwilligung nicht zusammengeführt werden.<br /><br /> Speichern Sie personenbezogene und nicht personenbezogene Daten in separaten Datenbanken. Eine Löschung bzw. Anonymisierung von personenbezogenen Informationen ist dann unproblematisch und schnell umgesetzt. Generell gilt: Je stringenter Sie Ihre Daten organisieren, umso schneller und einfacher können Sie auch dem Widerspruchsrecht Ihrer Kunden entsprechen. - „Auftragsdatenvereinbarung“ mit Dienstleister abschließen
Die Auftragsdatenverarbeitung (ADV) ist ein fester Bestandteil des Bundesdatenschutzgesetzes (BDSG): Der Vertrag mit einem Dienstleister muss den Anforderungen nach §11 BDSG entsprechen. Die ADV erfordert stets die Schriftform, eine Online-Akzeptanz ist nicht möglich. In der ADV wird die Zusammenarbeit mit dem Dienstleister geregelt. <br /><br /> Die meisten Unternehmen betreiben das Web-Controlling nicht auf eigenen Servern, sondern nehmen die Dienste Dritter dafür in Anspruch. Wenn die Daten auf diese Weise weitergeleitet werden, ist es zwingend erforderlich, dass Sie die Kontrolle über die Daten behalten. Schließen Sie mit dem Dienstleister einen schriftlichen Vertrag zur Verarbeitung der Daten in Ihrem Auftrag ab (Auftragsdatenverarbeitung). Wichtig zu beachten ist: Der Auftraggeber bleibt stets verantwortlich für die datenschutzkonforme Verarbeitung: Nur er wird haftbar gemacht und muss im Falle eines Verfahrens mit Bußgeldstrafen rechnen (§11 Abs. 1 BDSG). - Sparsam mit Daten umgehen
Laut §3a BDSG dürfen personenbezogene Daten nur in dem Umfang erhoben und gespeichert werden, wie es für den jeweiligen Zweck der Geschäftsbeziehung mit dem Kunden erforderlich ist. <br /><br /> Für die Erhebung von Daten, die für die Marktforschung wünschenswert, für den jeweiligen Zweck jedoch nicht zwingend notwendig sind, bedarf es der Einwilligung des betroffenen Nutzers. Erheben Sie daher nur Daten, die Sie für den jeweiligen Zweck auch wirklich benötigen. Verzichten Sie auf unnötige „Pflichtfelder“, auch wenn weitere Daten für Marketing und Marktforschung wünschenswert wären. Lassen Sie auf die Daten nur diejenigen Mitarbeiter zugreifen, die die Daten auch wirklich benötigen. Nutzen Sie die Daten nur zu dem Zweck, den Sie jeweils bei der Datenerhebung angegeben haben. Für andere Zwecke benötigen Sie in jedem Fall die Einwilligung des betroffenen Nutzers.